ServiceDesk Plus Cloud ナレッジベース

ManageEngine > サポート > ServiceDesk Plus Cloud ナレッジベース > アナウンス > REST APIのAuthtokenおよびURIモデルのサポート終了のお知らせ
戻る

REST APIのAuthtokenおよびURIモデルのサポート終了のお知らせ

  • 作成日:2020年11月24日 | 更新日:2020年11月24日

画面上部に表示される「Announcement: Deprecating Support for Authtokens and Changes in REST API URL Model」について、本社からのお知らせを翻訳したものになります。

翻訳内容は以下の通りです。
---------------------------------------------------------------------------------------------------

お客様各位

ServiceDesk Plus Cloud(以下、SDP Cloud)のREST APIにおいて、AuthtokenおよびURIモデルのサポートを終了いたします。

SDP CloudにおけるAuthtokenのサポート終了

SDP CloudのREST APIでは「Authtoken」および「OAUTH」の2種類の認証をサポートしています。「OAUTH」はより安全であり、明確に定義された基準に準拠しております。一方「Authtoken」は明確に定義された基準や有効期限がなく、委任アクセスがサポートされておりません。つまり、安全性が低く、今後使用するべきではありません。

REST APIにおけるAuthtokenベースの認証のサポートにつきましては、段階的に廃止いたします。2020年11月30日から、ユーザーは新たなAuthtokenを生成することができなくなります。なお、既に生成済みのAuthtokenはサポート終了まで引き続き利用できます。2021年1月15日からはAuthtokenのサポートを終了するため、生成済みのトークンを使用してREST APIへアクセスすることができなくなります。

ユーザーの皆様におかれましては、OAuthベースの認証への移行を推奨いたします。OAuthはクライアント認証の業界標準プロトコルです。SDP CloudのRest APIでOAuthを使用する方法につきましては、こちらのドキュメントをご参照ください。

SDP CloudのAPIを使用して、Webベースのアプリケーション、セルフクライアントアプリケーション、カスタム関数、マーケットプレイスアプリ、サードパーティアプリを構築している場合には、OAuthの認証フローに切り替える必要があります。

URIモデルの終了

SDP Cloud v3バージョンのREST APIでは、エンティティに対して呼び出すことのできる特別な操作をサポートしています。例えば、リクエストのピックアップ操作は、技術担当者フィールドのみを更新する特別な操作です。従来、ユーザーはリクエストの編集APIを呼び出して、現在のユーザーIDを渡す必要があります。SDP Cloudでは、そのような便利な操作に対して特別なURLをサポートしております。URIへアクセスすると、操作を実行することができます。

  1. /api/v3/requests/<id>/assign
  2. /api/v3/requests/<id>/_assign

最後の「assign」は便利な操作です。ご覧の通り、両者のURIの違いは assignトークンの先頭のアンダースコアです。アンダースコア(_)により、呼び出した操作の名前を識別することができます。

アンダースコアなしの曖昧な操作URIは非推奨となります。また、このURIのサポートは2021年1月15日に終了いたします。以降はアクセスすると無効なURLとなり、404のエラーコードが返ります。

参考情報:SDP CloudのAPIにはコアコンポーネントとしてHATEOASが実装されています。簡単に申し上げると、クライアントがリソース/エンティティによって提供されるアクションと操作を発見する標準的な方法を提供します。HATEOASはユーザーが認証をもっている操作を常に返します。このため、クライアントで特定の操作がユーザーに対して許可されているかどうかを確認する必要がなくなります。

エンティティ/リソースのHATEOASは以下のURIでアクセスできます。

  1. /api/v3/<resource-name>/_links
  2. /api/v3/<resource-name>/<id>/_links

以下は「リクエスト」エンティティにおける_linksのHATEOASのレスポンスのサンプルです。linksセクションでは、操作の一意な名前、使用するHTTPメソッド、呼び出すURL(href)などの操作情報が表示されます。名前で操作を識別し、URLを取得することを推奨いたします。

今回の変更によってお客様の運用に影響が生じる可能性については認識しておりますが、本件をお客様のセキュリティを高める機会としてお考えいただけますと幸いです。また、弊社ではすべてのお客様に対してより高い安全性をご提供いたします。

ご不明な点がございましたら技術サポートまでお問い合わせください。

Saravana Balaji
SDP Cloud

このナレッジの総閲覧回数: 311

関連するナレッジはありません